Source code Review / SAST Tools

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

ガイダンスとツールのリスト

マルチランゲージツール

Naxus - AI-Gents

PRをレビューするための無料パッケージがあります。

Semgrep

オープンソースツールです。

サポートされている言語

カテゴリ	言語
GA	C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX
Beta	Kotlin · Rust
Experimental	Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

カテゴリ

言語

C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX

Beta

Kotlin · Rust

Experimental

Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

クイックスタート

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

VSCode内で結果を得るために、semgrep VSCode Extensionを使用することもできます。

SonarQube

インストール可能な無料版があります。

クイックスタート

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

インストール可能な無料版がありますが、ライセンスによれば、オープンソースプロジェクトでのみ無料のCodeQLバージョンを使用できます。

インストール

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

クイックスタート - データベースの準備

最初に行うべきことは、データベースを準備する（コードツリーを作成する）ことで、後でクエリがそれに対して実行されるようにします。

codeqlにリポジトリの言語を自動的に識別させ、データベースを作成させることができます。

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

これは通常、複数の言語が指定された（または自動的に検出された）というエラーをトリガーします。次のオプションを確認してこれを修正してください！

あなたはこれを手動で指定することができます、リポジトリと言語を（言語のリスト）

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db

あなたのリポジトリが1つ以上の言語を使用している場合、各言語を示す言語ごとのDBを1つ作成することもできます。

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*

codeql に すべての言語を特定 させ、言語ごとにデータベースを作成させることもできます。GITHUB_TOKEN を提供する必要があります。

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

クイックスタート - コードを分析する

ついにコードを分析する時が来ました

複数の言語を使用した場合、言語ごとにDBが指定したパスに作成されていることを忘れないでください。

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

クイックスタート - スクリプト化された

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

発見をhttps://microsoft.github.io/sarif-web-component/で視覚化するか、VSCode拡張機能SARIF viewerを使用できます。

また、VSCode拡張機能を使用して、VSCode内で発見を取得することもできます。データベースを手動で作成する必要がありますが、その後は任意のファイルを選択し、右クリック -> CodeQL: 選択したファイルでクエリを実行をクリックできます。

Snyk

インストール可能な無料版があります。

クイックスタート

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

snyk VSCode Extensionを使用して、VSCode内で発見を得ることもできます。

Insider

これはオープンソースですが、メンテナンスされていないようです。

対応言語

Java (MavenおよびAndroid)、Kotlin (Android)、Swift (iOS)、.NET Full Framework、C#、およびJavascript (Node.js)。

クイックスタート

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

DeepSource

公開リポジトリは無料です。

NodeJS

yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn install
yarn audit # In lower versions
yarn npm audit # In 2+ versions

npm audit

pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm install
pnpm audit

nodejsscan: Node.jsアプリケーション用の静的セキュリティコードスキャナー（SAST）で、libsastとsemgrepによって提供されています。

# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code

RetireJS: Retire.jsの目的は、既知の脆弱性を持つJSライブラリのバージョンの使用を検出するのを助けることです。

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

electronegativity: Electronベースのアプリケーションにおける誤設定やセキュリティのアンチパターンを特定するためのツールです。

Python

Bandit: BanditはPythonコードの一般的なセキュリティ問題を見つけるために設計されたツールです。これを行うために、Banditは各ファイルを処理し、ASTを構築し、ASTノードに対して適切なプラグインを実行します。Banditがすべてのファイルのスキャンを終えると、レポートを生成します。

# Install
pip3 install bandit

# Run
bandit -r <path to folder>

safety: Safetyは、既知のセキュリティ脆弱性に対してPythonの依存関係をチェックし、検出された脆弱性に対する適切な修正を提案します。Safetyは、開発者のマシン、CI/CDパイプライン、および本番システムで実行できます。

# Install
pip install safety
# Run
safety check

~~Pyt~~: メンテナンスされていません。

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

RUST

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

Java

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class

タスク	コマンド
Jarを実行する	java -jar [jar]
Jarを解凍する	unzip -d [output directory] [jar]
Jarを作成する	jar -cmf META-INF/MANIFEST.MF [output jar] *
Base64 SHA256	sha256sum [file] \| cut -d' ' -f1 \| xxd -r -p \| base64
署名を削除する	rm META-INF/.SF META-INF/.RSA META-INF/*.DSA
Jarから削除する	zip -d [jar] [file to remove]
クラスを逆コンパイルする	procyon -o . [path to class]
Jarを逆コンパイルする	procyon -jar [jar] -o [output directory]
クラスをコンパイルする	javac [path to .java file]

タスク

コマンド

Jarを実行する

java -jar [jar]

Jarを解凍する

unzip -d [output directory] [jar]

Jarを作成する

jar -cmf META-INF/MANIFEST.MF [output jar] *

Base64 SHA256

sha256sum [file] | cut -d' ' -f1 | xxd -r -p | base64

署名を削除する

rm META-INF/.SF META-INF/.RSA META-INF/*.DSA

Jarから削除する

zip -d [jar] [file to remove]

クラスを逆コンパイルする

procyon -o . [path to class]

Jarを逆コンパイルする

procyon -jar [jar] -o [output directory]

クラスをコンパイルする

javac [path to .java file]

Go

https://github.com/securego/gosec

PHP

Psalm と PHPStan。

Wordpress プラグイン

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

https://www.npmjs.com/package/solium

JavaScript

発見

Burp:

スパイダーとコンテンツを発見
サイトマップ > フィルター
サイトマップ > ドメインを右クリック > エンゲージメントツール > スクリプトを見つける

WaybackURLs:

waybackurls <domain> |grep -i "\.js" |sort -u

静的分析

アンミニマイズ/ビューティファイ/プリティファイ

https://prettier.io/playground/
https://beautifier.io/
下記の「デオブフスケート/アンパック」で言及されているツールも参照してください。

デオブフスケート/アンパック

注意: 完全にデオブフスケートすることはできない場合があります。

.mapファイルを見つけて使用する:

.mapファイルが公開されている場合、簡単にデオブフスケートに使用できます。
一般的に、foo.js.mapはfoo.jsにマップされます。手動で探してください。
JS Minerを使用して探してください。
アクティブスキャンが実施されていることを確認してください。
'ヒント/ノート'を読む
見つかった場合、Maximizeを使用してデオブフスケートします。

.mapファイルがない場合、JSniceを試してください:

参考: http://jsnice.org/ & https://www.npmjs.com/package/jsnice
ヒント:
jsnice.orgを使用する場合、「Nicify JavaScript」ボタンの隣にあるオプションボタンをクリックし、「Infer types」の選択を外して、コードにコメントが散らばらないようにします。
スクリプトの前に空行を残さないようにしてください。そうしないと、デオブフスケートプロセスに影響を与え、不正確な結果をもたらす可能性があります。

JSNiceのもう少し現代的な代替品を見てみると良いでしょう:

https://github.com/pionxzh/wakaru
Javascript デコンパイラ、アンパッカーおよびアンミニファイツールキット Wakaruは、モダンフロントエンドのためのJavascriptデコンパイラです。バンドルされ、トランスパイルされたソースから元のコードを復元します。
https://github.com/j4k0xb/webcrack
obfuscator.ioをデオブフスケートし、バンドルされたjavascriptをアンミニファイおよびアンパックします
https://github.com/jehna/humanify
ChatGPTを使用してJavascriptコードをアンミニファイします。このツールは、大規模言語モデル（ChatGPTやllama2など）および他のツールを使用してJavascriptコードをアンミニファイします。LLMは構造的な変更を行わず、変数や関数の名前を変更するためのヒントを提供します。重い作業はASTレベルでBabelによって行われ、コードが1-1で同等であることを保証します。
https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html
LLMを使用してJavaScriptの変数名ミニファイを逆転させる

console.log()を使用する;

最後の戻り値を見つけて、console.log(<packerReturnVariable>);に変更し、デオブフスケートされたjsが実行されるのではなく印刷されるようにします。
次に、修正された（まだオブフスケートされた）jsをhttps://jsconsole.com/に貼り付けて、デオブフスケートされたjsがコンソールにログされるのを確認します。
最後に、デオブフスケートされた出力をhttps://prettier.io/playground/に貼り付けて、分析のために美化します。
注意: まだパックされた（しかし異なる）jsが表示される場合、それは再帰的にパックされている可能性があります。プロセスを繰り返してください。

参考文献

ツール

https://portswigger.net/burp/documentation/desktop/tools/dom-invader

あまり使われない参考文献

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

PreviousSpecial HTTP headers NextSpring Actuators

Last updated 1 month ago